Scanned and scammed: QR code fraud

犯罪分子向來善於利用新技術的「尖端領域」。19 世紀中葉,有組織犯罪集團利用剛剛誕生的電報,聯繫不在當地司法管轄範圍內的犯罪活動。20 世紀初,有組織犯罪分子借助汽車快速逃離現場,還將其用作運輸盜竊物品的「工具」。1 1990 年代,兒童剝削及販毒犯罪分子利用網際網路傳播兒童性虐待內容、銷售非法毒品。2 在這三個案例中,犯罪網絡先於「主流」社會運用相關技術,就是為了領先執法機關一步。 快速回應碼與詐欺 我們購買的產品會標示通用產品條碼,而快速回應碼(行動條碼)是其變異版。1990 年代初期,日本工程師原昌宏發明行動條碼,並將這種代碼格式用於追蹤日本汽車製造供應鏈中的零組件。行動條碼主要分為兩類:靜態(儲存固定資訊)和動態(可變更資訊)。在行動條碼中,資料被排列成黑白像素,只要經過智慧手機攝影鏡頭或其他掃描設備掃描,就能完成解讀。行動條碼為二進制形式,黑色部分表示 1,白色部分表示 0。靜態行動條碼就像個人名片,而動態行動條碼則像個人網站(易於更新)。非接觸式和簡單便捷,通常表示沒有實體界限、中介機構等「阻礙」。實體界限和中介機構能在一定程度上保障安全,凍結或撤銷安全存疑的交易。 以自動櫃員機 (ATM) 為例。銀行客戶可以利用自動櫃員機提取現金,無須在「銀行營業時間」親自趕往銀行辦理。這為客戶帶來了便利,也為銀行降低人力成本。然而,這種操作流程簡化也有其劣勢。不法分子可能「踩點」自動櫃員機的位置,然後瞄準銀行客戶實施搶劫,因此,客戶的人身安全風險也隨之升高。由於缺少銀行櫃員的實地監看,犯罪分子得以避開相關人員(好人)視線並利用該系統。行動條碼也難逃這種趨勢。需要說明的是,行動條碼不會遭到駭客攻擊。駭客若要篡改,必須修改黑白二進制模式,而如果不瞭解實際行動條碼背後的明文,僅憑肉眼根本無法讀取。3 即便如此,犯罪分子仍有其他手段破壞行動條碼以達成其非法目的。 行動條碼釣魚 (quishing) 攻擊產生了大量行動條碼相關詐欺。Security 報告稱,相比 2023 年 1 月至 8 月的累計數量,2023 年 9 月的行動條碼網路釣魚事件增長了 51%。4 與其他金融相關詐欺類似,行動條碼網路釣魚極易導致帳戶盜用和數位支付詐欺。 行動條碼詐欺的實際操作 肉眼無法直接辨別惡意行動條碼,這為不法分子提供了顯著便利。 由於公眾逐漸習慣忽略和(可能)刪除電子郵件中引導受害者跳轉至詐欺網站的惡意網址 (URL) 連結,犯罪分子開始利用條碼的「下一代」版本——行動條碼。當配備相機的智慧手機廣泛使用,以及行動條碼的實用功能性,無論是活動門票、廣告和餐廳菜單中隨處可見行動條碼。犯罪分子可將惡意行動條碼覆蓋在合法行動條碼上,將掃描者引導至要求提供個人資訊的網站,進而實施身分盜用。 2023 年 11 月,金融犯罪稽查局 (FinCEN) 發布警告,提醒人們注意不法分子發出主旨為「重要法規遵循通知」並附帶行動條碼的電子郵件或實體通訊。這起詐欺事件發生的背景是,金融犯罪稽查局根據 2024 年 1 月《公司透明法案》(CTA)...
Scanned and scammed: QR code fraud

犯罪分子向来善于利用新技术的“前沿领域”。19 世纪中叶,有组织犯罪团伙通过刚刚诞生的电报,协调不在当地司法管辖范围内的犯罪活动。20 世纪初,有组织犯罪分子借助汽车快速逃离现场,还将其用作运输盗窃物品的“工具”。120 世纪 90 年代,儿童剥削及贩毒犯罪分子利用互联网传播儿童性虐待内容、销售非法毒品。2 在这三个案例中,犯罪网络先于“主流”社会运用相关技术,就是为了领先执法机关一步。 快速响应码与欺诈 快速响应码(二维码)是我们购买的产品上展示的一种通用产品代码。20 世纪 90 年代初,日本工程师原昌宏发明了二维码,并将这种代码格式用于追踪日本汽车制造供应链中的零部件。二维码主要分为两类:静态(存储固定信息)和动态(可变更信息)。在二维码中,数据被排列成黑白像素,只要经过智能手机摄像头或其他扫描设备扫描,就能完成解读。二维码为二进制形式,黑色部分表示 1,白色部分表示 0。静态二维码就像个人名片,而动态二维码则像个人网站(易于更新)。非接触式和简单便捷,通常意味着没有物理界限、中介机构等“阻碍”。物理界限和中介机构能在一定程度上保障安全,冻结或撤销安全性存疑的交易。 以自动柜员机 (ATM) 为例。银行客户可以通过自动柜员机提取现金,无需在“银行营业时间”亲自赶往银行办理。这为客户带来了便利,也为银行降低了人力成本。然而,这种操作流程简化也有其劣势。不法分子可能“踩点”自动柜员机的位置,然后瞄准银行客户实施抢劫,因此,客户的人身安全风险也随之升高。由于缺少银行柜员实时观察,犯罪分子得以避开相关人员(好人)视线并利用该系统。二维码也难逃这种趋势。需要说明的是,二维码不会遭到黑客攻击。黑客若要篡改,必须修改黑白二进制模式,而如果不了解实际二维码背后的明文,仅凭肉眼根本无法读取。3即便如此,犯罪分子仍有其他手段破坏二维码以达成其非法目的。 大量二维码相关欺诈通过二维码网络钓鱼实施。Security 报告称,相比 2023 年 1 月至 8 月的累计数量,2023 年 9 月的二维码网络钓鱼事件增长了 51%。4与其他金融相关欺诈类似,二维码网络钓鱼极易导致账户盗用和数字支付欺诈。 二维码欺诈的实际操作 肉眼无法直观辨别恶意二维码,这为不法分子提供了显著便利。 随着公众逐渐习惯忽略和删除电子邮件中(可能存在)的引导受害者跳转至欺诈网站的恶意统一资源定位符 (URL) 链接,犯罪分子开始利用条形码的“下一代”版本——二维码。鉴于配备摄像头的智能手机的广泛使用以及二维码的实用功能,二维码在活动门票、广告和餐厅菜单中随处可见。犯罪分子可将恶意二维码覆盖在合法二维码上,将扫描者引导至要求提供个人信息的网站,进而实施身份盗用。 2023 年 11 月,金融犯罪执法网络 (FinCEN) 发布警告,提醒人们注意不法分子发出的标注“重要合规通知”并附带二维码的电子邮件或实体通信。这起欺诈事件发生的背景是,金融犯罪执法网络根据 2024 年 1 月《公司透明度法案》(CTA) 规定,要求增加受益所有权信息...